هشدار درمورد اینترنت اکسپلورر Zero-Day بدون پچ
1398/11/02
رمز گشایی باج افزارهای Shade / Troldesh
1399/02/21
حملات سایبری همه روزه اتفاق می افتد و به طور مداوم در حال افزایش و پیچیده تر شدن و … می باشد تا سیستم امنیتی شما را به خطر اندازند و راهی به درون سازمان باز کنند. مهاجمان به طور متناوب با استفاده زنجیره ای از تکنیک ها و تاکتیک های پیشرفته و سفارشی سازی شده سعی در ایجاد اختلال در روند فعالیت های سازمان شما و ایجاد اختلال در روابط شما با شرکای تجاری و مشتریان را دارند. اکنون به وضوح مشخص است که برای حفاظت در برابر این گونه تهدیدات نیاز به سیستمی جدید بر پایه Threat Intelligence می باشد.
با ادغام اطلاعات به دست آمده از قبیل IP های خطرناک و مشکوک، URL ها، hashe ها و سایر اطلاعات موجود در سیستم های امنیتی موجود مانند سیستم های SIEM، یک تیم امنیتی توان کافی در جهت تحقیق و بررسی بیشتر و همچنین فعال سازی هشدار اتوماتیک برای پاسخ سریع و موثر توسط تیم Incident Response به تهدیدهای احتمالی را خواهد داشت.
اطلاعات داده ها (The Data Feeds)
این مجموعه شامل موارد زیر می شود:
- IP Reputation Feed: مجموعه ای از آدرس های IP و همچنین موسسات میزبانی وب که فعالیت های مشکوک و یا خرابکارانه دارند را پوشش می دهد.
لینک های مخرب و Phishing: لینک ها و وب سایت های مخرب و فیشینگ را پوشش می دهد. - Botnet C&C URL Feed: سرورهای C&C بات نت دسک تاپ و اشیاء مخرب را پوشش می دهد. شناسایی دستگاههای آلوده که با C&C ارتباط برقرار می کنند.
- Mobile Botnet C&C URL Feed: سرورهای C&C بات نت تلفن همراه را پوشش می دهد. شناسایی دستگاههای آلوده که با C&C ارتباط برقرار می کنند.
- Ransomware URL Feed: لینک های مربوط به باج افزار ها و بد افزار های مخرب و نحوه دسترسی آنها به اطلاعات را پوشش می دهد.
- Vulnerability Data Feed: مجموعه ای از آسیب پذیری های امنیتی با اطلاعات مربوط به تهدید (hashe مربوط به برنامه های آسیب پذیر، exploit ها، CVE ها و …) را پوشش می دهد.
- APT IoC Feeds: پوشش دامنه های مخرب ، میزبان ها ، آدرس های IP مخرب و … که توسط مهاجمان برای حملات APT مورد استفاده قرار می گیرد.
- Passive DNS (pDNS) Feed: رکوردهایی که شامل مواردی از قبیل نتیجه تفکیک DNS ها از نظر میزبان، مقدار ارتباط، آدرس های IP دامنه های مختلف می باشند را پوشش می دهد.
- IoT URL Feed: وب سایت هایی که بد افزار های مخرب برای آلوده کردن دست گاه های IOT منتشر می کنند را پوشش می دهد.
- Malicious Hash Feed: پوشش کامل بد افزار های نوظهور بسیار خطرناک و دارای قابلیت پخش سریع از طریق کنترل و شناسایی Hash آنها.
- ICS Hash Data Feed: پوشش کامل بد افزار هایی که در جهت آلوده سازی دستگاه های موجود در واحد های صنعتی تولید از قبیل ICS ها می شوند.
- Mobile Malicious Hash Feed: پوشش کامل در برابر بد افزار هایی که سیستم عامل های اندروید و IOS را در تلفنهای همراه هدف قرار می دهند.
- ICS Hash Feed: کنترل Hash برای شناسایی بد افزار هایی که دستگاههای مورد استفاده در سیستمهای کنترل صنعتی را آلوده می کنند.
- P-SMS Trojan Feed: شناسایی تروجان هایی که از طریق پیام کوتاه برای قربانی ارسال می شوند که مهاجم را قادر می سازد علاوه بر سرقت اطلاعات کنترل کامل گوشی قربانی از قبیل پاسخ به پیام های وارده و همچنین برقراری تماس با تلفن همراه را در اختیار داشته باشد.
- Whitelisting Data Feed: ارائه راهکارها و خدمات گوناگون با بهره گیری از دانش سیستماتیک از نرم افزارهای قانونی و بی خطر.
جمع آوری و پردازش
داده ها معمولا از منابع آلوده، موارد ناهمگن و همچنین دیتابیس های کاملا قابل اطمینان از قبیل KSN شرکت کسپرسکی و جستجوگر های معتبر وب، سرویس مانیتورینگ Botnet (24/7/365 مانیتور کردن عملکرد بات نت ها، اهداف و نحوه فعالیت آنها)، جستجوگران اسپم و تیم ها و شرکت های امنیتی جمع آوری و مورد استفاده قرار می گیرند.
پس از جمع آوری اولیه اطلاعات در اولین زمان این داده ها با استفاده از تکنیک های مختلف از قبیل معیارهای آماری، استفاده از Sandbox، Heuristics Engines، اسکنرهای چند بعدی تهدید، مقایسه با اطلاعات مشابه قبلی و همچنین تست توسط کارشناسان امنیتی اقدام به ایجاد یک لیست از موارد مجاز و موارد مشکوک و غیر مجاز می گردد و تمامی اطلاعات بدین صورت بازبینی و تصفیه می شوند.
فواید:
- سیستم دفاعی شبکه خود از جمله SIEMها، فایروال ها، IPS / IDS، پروکسی ها، راه کار های Anti-APT و … را به طور مداوم و بر اساس این شاخص ها به روز رسانی نموده و دید وسیع تری نسبت به حملات سایبری خواهید داشت و درک بیشتری از اهداف، قابلیت ها و نحوه عملکرد مهاجمین داشته باشید. SIEM های پیشرو (از جمله HP ArcSight ، IBM QRadar ، Splunk و غیره) به طور به طور مداوم در حال به روز رسانی و افزایش بهره وری
- دستگاه های محیطی و دستگاه های لبه شبکه(مانند روتر ، Gateway، وسایل UTM ) را برای مقابله با بد افزار های مخرب ارتقاء دهید و بهینه نمائید.
- با فراهم کردن اطلاعات کامل از یک تهدید و کلیه مواردی که پشت حملات هدفمند وجود دارد نحوه پاسخ به حوادث امنیتی را بهبود بخشیده و سرعت این کار را افزایش دهید.
- تشخیص و تجزیه و تحلیل حوادث امنیتی در شبکه به طور کارآمد تر و موثر تر از طریق اولویت بندی سیگنال سیستم های داخلی در برابر تهدید های ناشناخته برای به حد اقل رساندن زمان عکس العمل تیم SOC و قطع کردن زنجیره آلوده سازی کل سازمان و محافظت از سیستم های حساس و بحرانی .
- ارائه اطلاعات به دست آمده از یک تهدید به کارکنان سازمان . اطلاعات جدید در مورد بد افزار ها و باج افزار هایی که به تازگی شناسایی شده و نحوه عملکرد آنها می تواند یک عمل پیشگیرانه مناسب برای افزایش سطح امنیت سازمان شود.
- با بهره گیری از راهبردهای دفاعی خاص برای مقابله با تهدیدهای خصوصی سازی شده بر علیه سازمان شما، باید وضعیت امنیتی خود را با استفاده از اطلاعاتت تاکتیکی و استراتژیک به دست آمده از یک تهدید تقویت نمائید.
- برای شناسایی محتوای مخربی که توسط میزبانان وب به شبکه شما تزریق می شود از threat intelligence استفاده نمائید.
- جلوگیری از سرقت و ایجاد خدشه در اطلاعات حساس و یا آلوده شدن سیستم های درون سازمانی برای جلوگیری از نابود سازی فرصت های شغلی و مزایای رقابت با سایر رقبا و همچنین به خطر افتادن روند کسب و کار شما.
- انجام جستجوهای عمیق بر اساس شاخص های تهدید مانند خط فرمان، لینک های مخرب، IP های مشکوک، hash مربوط به فایل های مخرب با زمینه تهدید انسانی که امکان اولویت بندی حملات را فراهم می آورد، تصمیمات مربوط به هزینه های IT و تخصیص منابع را بهبود می بخشد و تمرکز شما را در زمینه کاهش تهدید های خطرناک برای کسب و کار شما را بالا می برد.
- به عنوان یک MSSP تجارت خود را با اتکا به اطلاعات به روز در زمینه حملات سایبری پیش ببرید و با افزایش ضریب امنیت سیستم دفاعی خود تمامی موارد تهدید را شناسایی و به عنوان خدمت رسان برتر به مشتریان در زمینه کاری خود معرفی شوید.
